När jag skrev om viktiga vardagsråd för en tryggare nätvardag var det en detalj jag valde att utelämna. Dagen efter jag publicerade hackades Twitters vd Jack Dorseys twitterkonto - och plötsligt blev den utelämnade detaljen högaktuell: Vi kan inte lita på sms för engångskoder.
Det som kallas för tvåfaktorsinlogg innebär att det inte räcker med ett lösenord för att logga in på ett konto. Istället krävs en andra faktor (lösenordet är den första). Ibland kan faktor två vara något du är (det vill säga en biometrisk koll, en fingeravtrycksläsare till exempel). Men ofta är faktor två något vi har. Många gånger vår mobiltelefon.
Finessen är att det inte längre räcker med faktor ett (lösenordet, något vi kan). Den som vill logga in på ett konto måste också ha tillgång till rätt pryl. Blir man inte av med sin mobiltelefon, dit en engångskod skickas som sms, är man säker.
I teorin.
I praktiken har det visat sig att telefonoperatörer slarvar med identitetskollen när någon hör av sig och behöver ett nytt sim-kort till sitt mobilabonnemang. Vilket verkar vara vad som drabbade Jack Dorsey. Någon lyckades ordna ett sim-kort med hans nummer, och kunde sen twittra med hjälp av sms via tredjepartstjänsten Cloudhopper.
Den detaljen visar på ytterligare en sårbarhet i vår sammankopplade nätvardag. Dorseys twitterkonto kapades alltså aldrig. Istället gav ett ”kapat” mobilabonnemang tillgång till hans twitterkonto via en tredjepartstjänst.
Att det här är en tänkbar attackväg är inte någon nyhet. Twittercounter (Hundreds of Twitter Accounts Hacked with Swastikas Through Third Party App 'Twitter Counter') och Timehop (Timehop Hacked — Hackers Stole Personal Data Of All 21 Million Users)är två exempel på tjänster som utnyttjats för intrång riktade mot Twitter.
Tredjepartstjänster är appar och webbplatser som vi kopplar till våra konton på Twitter, på Facebook, på Dropbox, hos Microsoft och så vidare. Kopplingen till de här stora plattformarna gör det möjligt att använda dem på andra sätt och till fler saker än vad plattformen själv gör möjligt.
Men om IT-jättarna har hela avdelningar med säkerhetsspecialister ser det annorlunda ut hos småföretagen som bygger sina tjänster ovanpå plattformarna. Varje säkerhetslucka som finns hos småföretagen blir en väg in till de stora plattformarna också. Det spelar ingen roll hur duktiga Twitters utvecklare är på att förhindra obehöriga att twittra från mitt konto om tjänsten X, som jag kopplat till mitt twitterkonto, är fullt med säkerhetshål.
Så vad kan du göra? #
De här två problemen landar i två råd.
För det första: Aktivera tvåfaktorsinlogg, men välj annan leveransväg än sms om tjänsten du använder gör det möjligt. En särskild app för att skapa engångskoderna, som Authy eller Google Authenticator, är bra. En särskild hårdvarunyckel, som en YubiKey är ännu bättre.
För det andra: Ta för vana att kolla igenom vilka tjänster du gett access till dina konton på de stora plattformarna. Kolla med jämna mellanrum igenom listorna hos Facebook, Twitter, Dropbox och så vidare. Hittar du tjänster och appar som du inte längre använder, radera dem.